En août 2021, l’entreprise Solware a subit une cyberattaque extrêmement violente, menée par le groupe de cybercriminels Conti. L’entreprise a mis 18 mois pour se sortir de cette crise sans précédent.
Solware est un éditeur de logiciels pour deux secteurs d’activité : la distribution et réparation automobile, et le secteur du médico-social. Gérald Ferraro, son Président, nous raconte l’histoire de la cyberattaque.
Dans la nuit du 11 août 2021, la personne d’astreinte constate que les serveurs ne répondent pas. Très vite, les équipes se rendent compte que l’ensemble des systèmes de production est inaccessible et que les sauvegardes ont été supprimées.
Les clients du secteur automobile sont touchés : ils ne peuvent plus accéder à leurs données via l’application Solware.
Prise de contact avec les cybercriminels
Les cybercriminels du groupe Conti demandent une rançon de plusieurs millions d’euros. Ils connaissent la capacité de Solware à payer un tel montant puisqu’ils ont accès à toute leur comptabilité et à tous leurs documents financiers.
Sauf qu’au moment de se poser la question de payer la rançon, les données chiffrées ont été supprimées. Ce qui est très surprenant car les rançonneurs se coupent de la possibilité de recevoir une rançon dès lors que les données ne sont plus disponibles au déchiffrement.
En l’absence de donnée, la question du paiement de la rançon ne se pose plus.
Des milliers de données perdues
Les serveurs de sauvegardes ont été envoyés dans une société spécialisée dans la récupération de données. La société a mis 2 mois et demi à récupérer 70% des données des clients. Sauf que lorsqu’il s’agit de données de comptabilité, 70% des données n’est pas suffisant pour garantir l’intégrité des données. Il a donc fallu changer de prestataire.
C’est en janvier 2022 que Solware réussit à retrouver l’intégrité de ses données, après 3 mois de travail acharné.
Des clients très impactés
Entre le 11 août et le 15 septembre, les clients n’avaient plus accès à leurs données ni à leur logiciel Solware. Il a été décidé d’installer les logiciels en local chez les clients qui ont pu à nouveau saisir des données à partir du 15 septembre, mais sans avoir accès aux données historiques.
Aussi, à partir du 15 février, il a fallu fusionner les données restaurées avec les données qui avaient été saisies depuis le 11 août à la main et depuis le 15 septembre dans le logiciel. Ce fut une opération qui s’est avérée extrêmement complexe et pour laquelle il a fallu recruter une vingtaine de personnes.
Les clients en ont également subit les conséquences et Solware fait état d’une perte de 20% de ses clients. Aujourd’hui se pose notamment la question de l’indemnisation des clients qui considèrent avoir subit un préjudice.
Des conséquences financières importantes
Les conséquences financières pour Solware se chiffrent à 1 million d’euros en 2021, 1 million d’euros en 2022, une perte de 2 millions de chiffre d’affaires en 2021 et un plan d’indemnisation à hauteur de 4 millions d’euros.
Au total, le coût de la cyberattaque pour Solware se situe entre 6 et 8 millions d’euros.
Malheureusement, ce montant est largement supérieur à celui de la rançon demandée par le groupe Conti. Même s’il est fortement déconseillé de payer la rançon, et que le Président de Solware ne le recommande pas, les conséquences subies parce qu’ils n’ont pas pu payer la rançon étaient bien plus importantes que s’ils l’avaient payée.
Il y a eu également des conséquences en termes de RH puisque près de la moitié des équipes commerciales ont démissionné à la sortie de crise. “Les gens étaient fatigués, c’était une crise incroyablement impactante pour Solware” raconte Gérald Ferraro, “heureusement, on est rentré dans cette crise avec une situation extrêmement saine en termes de performance et de résultat mais aussi et surtout en termes de trésorerie car sans ça, on ne serait plus là aujourd’hui”.
Une communication de crise compliquée
Il a fallu mettre en place une communication de crise avec les clients pour les tenir au courant des évolutions de la récupération des données après la cyberattaque.
Ce fut une période difficile, autant pour les clients que pour les équipes de Solware qui recevaient de bonnes nouvelles le matin et de mauvaises nouvelles le soir. Il était impossible de savoir si l’entreprise allait pouvoir récupérer les données de façon garantie.
Un contrôle de la CNIL
Quand la CNIL a vu que la cyberattaque de Solware concernait potentiellement 20 millions de personnes, c’est-à-dire 1 Français sur 3, ils ont décidé de faire un contrôle sur place.
Suite à ce contrôle, la CNIL a considéré que les mesures de sécurité qui étaient alors en place chez Solware étaient conformes à l’état de l’art du moment.
“La cyberattaque que nous avons subie était difficile à prévenir et difficile à éviter”, explique le Président de Solware.
Par la suite, il a été constaté que les données des clients n’ont jamais été volées ni extraites. Il n’y a donc pas eu de fuite de données des clients de Solware, “mais au moment où nous avions fait la déclaration, nous le savions pas”, précise Gérald Ferraro.
Par où est rentré l’attaquant ?
Le “patient zéro” n’a pas été trouvé, il s’agissait probablement d’un phishing mais le vecteur d’attaque reste à ce jour inconnu. Ce qui est certain, c’est que l’attaquant a réussi à obtenir un nom d’utilisateur et un mot de passe pour s’introduire dans le système, il a ensuite pivoté pour acquérir des droits supplémentaires jusqu’à acquérir les droits administrateur du domaine. C’est là que l’attaquant déploie son ransomware.
18 mois pour se remettre
“On aura mis 18 mois pour se sortir de cette attaque qui a été particulièrement violente” raconte le Président de la société victime qui a retrouvé, d’un point de vue technique et commercial, une activité normale depuis septembre 2022.
L’entreprise en a profité pour reconcevoir complètement son infrastructure avec des mesures de sécurité totalement différentes qui tiennent compte de ce qui leur est arrivé : des systèmes beaucoup plus cloisonnés avec de la double authentification, des sauvegardes délocalisées et non connectées pour Solware et pour les clients.
De l’importance de partager et de témoigner
Quelques jours après l’attaque seulement, Gérald Ferraro décide de contacter ses concurrents et son écosystème pour les prévenir de ce qui lui est arrivé et les alerter. À sa grande surprise, certains dirigeants d’entreprises lui répondent qu’ils ont eux-mêmes subis une cyberattaque l’an passé, ou dans le mois passé et sont prêts à lui en parler. “J’aurais bien aimé qu’ils le fassent avant, c’était très sympa qu’ils le fassent après, mais moi j’aurais voulu qu’ils le fassent avant” explique le Président de Solware qui aurait pris des mesures de cybersécurité plus poussées s’il avait été informé.
Quelques bases de cybersécurité à maîtriser
Voici quelques conseils de base pour être prêt en cas d’attaque :
- Avoir des sauvegardes offline
- Être capable de restaurer ses sauvegardes
- Sensibiliser les collaborateur au phishing
- Mettre en place la double authentification
“L’enjeu de la cybersécurité, ce n’est pas tellement d’être protégé à 100% mais c’est d’être mieux protégé que son voisin, puisque les cybercriminels vont aller aux endroits où c’est le plus facile. Et donc il faut se protéger un peu mieux que le reste des entreprises. C’est une course sans fin puisque au fur et à mesure qu’il y a de nouvelles normes de cybersécurité, les cybercriminels font aussi des progrès et contournent ces nouvelles mesures de cybersécurité donc c’est une course sans fin mais aujourd’hui c’est indispensable d’être dans cette course.”
Une réelle prise de conscience du risque
L’entreprise Solware n’a jamais ignoré le risque cyber : des mesures de cybersécurité étaient effectivement en place avant l’attaque. Cependant, la cyberattaque a fait émerger une prise de conscience du risque supplémentaire qui les a incité à revoir leur niveau de cybersécurité tout en prenant en compte le fait que le risque zéro n’existe pas et qu’ils peuvent très bien se faire attaquer à nouveau.
“Le système de sécurité qu’on a conçu tient compte du fait qu’on ne peut pas avoir une sécurité à 100%. En revanche, ce qu’il faut, c’est que les conséquences de l’attaque ne soient pas trop importantes. On pense qu’on se fera attaquer à nouveau mais aujourd’hui on est beaucoup mieux préparés et on est surtout beaucoup plus résiliants en cas d’attaque”, conclut Gérald Ferraro.
Merci à Gérald Ferraro d’avoir accepté de témoigner pour Stoïk.